セキュリティの新しい風 ～Birds of a feather～
第二回　"教育"は最大の防御通達を社員は読んで心に留めているのだろうか？

敵を知り・・・ 

犯罪者の視点から考えれば、容易に侵入できる所を探し、資産を盗取するのは現実の世界でも、ネット社会でも同じと考えることができる。

現実の世界での犯罪例として、警視庁「侵入窃盗の侵入手段」の調査を図表３に示したが、これをみても、戸建て（合計 35,902件）、共同住宅・３階以下（同、11,114件）、共同住宅・４階以上（3,979件）「無施錠（無締り）」や簡単な「ガラス破り」がほとんどを占めている。簡単に侵入できれば、それを利用して現金や換金できるものを盗むことになる。簡単に開けられない防犯設備であれば、侵入まで時間が掛かり、目的とする「金品」を盗取する前に見つかる可能性が高くなり、そのような家屋への侵入をあきらめることは容易に想像できる。

図表３ 警視庁 侵入窃盗の侵入手段 平成27年（2015年）から筆者が編集した

ネット上でも、簡単なツールを使って、サーバなどの性弱性を発見しても、それを利用して侵入する方法が分からなければ、そこであきらめてしまう。利用者の持つ「ユーザID／パスワード」を知ることができれば、それを利用してシステムへの侵入を試みる、あるいは、遠隔操作プログラムを送り込み、個人情報や機密情報を盗取することになる。

セキュリティ教育も十分行われておらず、このため、セキュリティ意識が低い利用者が多数いれば、そこに狙いを定め、標的型攻撃（電子メール、電話等を利用）やランサムウェアでの攻撃を行うことなる。

己を知れば・・・

セキュリティ意識の低い利用者に攻撃を定めることは容易に想像でき、攻撃者が利用者を攻撃する手法は、人間の心理的な弱さを攻撃する「ソーシャルエンジニアリング」と呼ばれるものになる。この攻撃に関する書籍は、1990年代中頃に既に出版されており、特に新しい攻撃ではないが、最近は利用者が大幅に増えており、また、SNS等を併用した攻撃も増えてきたことが特徴となっている。 利用者への対策として、よくあるのは「注意喚起」情報をウェブへ掲載する、あるいは、冊子を作って配布する等が多い。しかし、「注意喚起」はどの程度役立つだろうか？
先日、注意喚起の掲示板（図表４）を見た。「パウダールーム（洗面台）」の壁に立派な掲示板（縦横：40cm×60cm程度）が設置してあった。しかし、その横で「歯磨き」をしていた人がいた。　最初の行に「歯磨き等は、衛生上等の理由でご遠慮下さい」と書いてあるが、目立つ掲示板であっても関心がなければ、立派な掲示板も見えないのが人間であることを理解する必要がある。 毎日、多くの情報が流れる組織で、「注意喚起」をウェブ等で行っても、利用者全員がみたとの考えを捨て、重要事項は、「注意喚起」を、全員が周知する工夫をすべきであろう。
引用：　ナイトメア（The Knightmare），シークレット・オブ・スーパーハッカー（Secrets of a Super Hacker），日本能率協会マネジメントセンター，1995年（原本： 1994年）

セキュリティポリシーを作成あるいは、修正してものを全利用者に配布した。その内容を守れないのは、利用者に問題がある、との話を聞くことがある。 セキュリティポリシー自体に問題はないのか？　あるいは、利用者への周知に問題がないのだろうか？

図表４ 注意喚起の例